Calipia : le blog

La semaine dernière, Microsoft a révélé l’existence d’une cybercampagne sophistiquée menée par un acteur nord-coréen exploitant une vulnérabilité de type « zero-day » dans le navigateur Chromium. Cette vulnérabilité, désignée sous le nom de CVE-2024-7971, a été repérée dans le cadre d’une exécution de code à distance visant le secteur des crypto-monnaies à des fins lucratives. Microsoft attribue également les attaques à deux groupes d’acteurs de la menace situés en Corée du Nord.

C’est une vulnérabilité de type « confusion » dans le moteur JavaScript et WebAssembly V8 de Chromium, qui affecte les versions antérieures à 128.0.6613.84. L’équipe de sécurité de Microsoft a déclaré avoir détecté pour la première fois ces attaques en aout dernier, elles utilisent un kit de logiciels malveillants sophistiqués FudModule créé et exploité par deux groupes nord coréen : Diamond Sleet et Citrine Sleet

Comme pour toute menace émanant d’un État, Microsoft a directement notifié les clients concernés ou ciblés, en leur fournissant des informations essentielles pour sécuriser leurs environnements. L’entreprise a déclaré qu’elle continuerait à surveiller la situation et à fournir des détails supplémentaires dès qu’ils apparaîtront.

Fonctionnement de l’attaque :

• Citrine Sleet dirige les cibles vers le domaine d’exploitation malveillant *voyagorclub[.]space* par le biais de l’ingénierie sociale, ce qui déclenche une action d’exécution de code à distance pour charger un débordement du bac à sable Windows et le FudModule dans la mémoire. Cette évasion de la sandbox cible la faille précédemment corrigée du noyau Windows [CVE-2024-38106] (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38106).
• Une fois que la faille du noyau Windows est exploitée sur des systèmes non corrigés, le FudModule complet s’exécute sur le système ciblé.

Citrine Sleet, un groupe parrainé par l’État nord-coréen, a principalement ciblé les institutions financières, en particulier dans le domaine des crypto-monnaies. Le groupe est connu pour sa reconnaissance approfondie et son utilisation de tactiques d’ingénierie sociale pour attirer les victimes. Ces tactiques consistent souvent à créer de fausses plateformes d’échange de crypto-monnaies et à distribuer des logiciels malveillants par le biais d’applications apparemment légitimes.

Google a corrigé la vulnérabilité CVE-2024-7971 le 21 août, et il est conseillé, sans surprise, aux utilisateurs de mettre à jour immédiatement leurs navigateurs basés sur Chromium (dont Edge bien sur).